  Chapter 

Bedreigingen rondom Accounting Information Systems nemen toe. De meeste organisaties ervaren gebreken in de controle van de veiligheid en integriteit van hun computersysteem.

Een reden voor deze tekortkoming is dat informatie beschikbaar is voor een ongekend aantal werknemers. Een andere reden is dat informatie, verdeeld over verschillende computernetwerken, moeilijk te controleren is. Een laatste reden is dat klanten en leveranciers toegang hebben tot elkaars systeem en data. Dat bedrijven er vaak niet alles aan lijken te doen om hun data te beschermen heeft ook zo zijn redenen: sommige bedrijven zien het verlies van cruciale informatie als een onwaarschijnlijke bedreiging. De overgang van gecentraliseerde computersystemen naar op internet gebaseerde systemen vereist een ander soort controle die niet altijd bekend is. Veel bedrijven realiseren zich niet dat informatie een strategische bron is die beschermd moet worden. Controle vergt veel productiviteit en brengt extra kosten met zich mee.

Elke potentiële negatieve of ongewenste gebeurtenis wordt een threat, ook wel een bedreiging genoemd. Het potentiële verlies, wanneer de bedreiging werkelijkheid wordt, wordt de impact of exposure genoemd. Tenslotte, de kans dat zo’n bedreiging werkelijkheid wordt, wordt de likelihood genoemd.

Wat valt onder controle-begrippen?

Internal controls zijn de controles binnen een bedrijf met als doel dat informatie correct wordt verwerkt. Interne controlesystemen hebben ook beperkingen, zoals gevoeligheid voor eenvoudige fouten en vergissingen, foutieve beslissingen en besluitvorming, ‘management overrides’ en samenspanning.

Het ontwikkelen van een interne controlesysteem vereist een grondige kennis ten aanzien van de mogelijkheden en risico’s van information technology (IT).

Internal controls hebben drie belangrijke functies:

  1. Preventive controls: detecteren problemen voordat ze ontstaan, bijv. door het inhuren van gekwalificeerd personeel.

  2. Detective controls: het ontdekken van problemen die niet zijn voorkomen, bijv. het narekenen van berekeningen.

  3. Corrective controls: zowel het identificeren als corrigeren van problemen en de daaruit voortvloeiende fouten.

Internal control worden vaak ingedeeld in twee categorieën:

  1. General controls: controles die zorgen voor een stabiele omgeving wat betreft de controle in een onderneming en het informatiesysteem, zoals bijvoorbeeld de veiligheid en de IT infrastructuur.

  2. Application controls: controles die transactiefouten en fraude in toepassingsprogramma’s voorkomen, detecteren en corrigeren.

Robert Simons onderkende vier soorten controlelevels die een onderneming helpt het conflict tussen creativiteit en controle te doen overeenstemmen:

  • Belief system: een zakelijke houding bijgebracht door het hogere management die de kernwaarden van de onderneming proberen over te brengen op de werknemers, met als doel dat deze werknemers deze waarden nastreven.
    Een belief system richt zijn aandacht op de manier waarop de organisatie waarde creëert en werknemers helpt te begrijpen welke richting het management op wilt.

  • Boundary system: een system dat werknemers helpt om ethisch te handelen door het stellen van grenzen die een werknemer niet mag overschrijden. Werknemers mogen handelen zolang ze maar binnen bepaalde maatstaven blijven, zoals het voldoen aan een minimum prestatienorm, het vermeiden van verboden activiteiten en het negeren van handelswijzen die de reputatie van de onderneming zouden kunnen aantasten.

  • Diagnostic control system: een systeem van prestatiemeting dat de werkelijke prestatie vergelijkt met de beoogde prestatie.

  • Interactive control system: een systeem dat managers helpt om de aandacht van de ondergeschikten te richten op belangrijke strategische kwesties en ze meer te betrekken bij beslissingen. Informatie wordt besproken tijdens ‘face-to-face’ vergaderingen met iedereen uit de organisatie.

In 1977 werd de Foreign Corrupt Practices Act (FCPA) aangenomen om te voorkomen dat bedrijven buitenlandse functionarissen omkochten om bepaalde zaken gedaan te krijgen. Deze wetgeving vereist dat alle beursgenoteerde bedrijven redelijk gedetailleerde documentatie bijhouden en beschikken over een systeem van interne controle.

Toch kwamen er steeds nieuwe gevallen van fraude aan het licht, met als gevolg de oprichting van de Sarbanes-Oxley Act (SOX) in 2002. Betrekking hebbende op beursgenoteerde bedrijven met als doel het voorkomen van fraude in financiële verslagen d.m.v. transparantie in financiële rapporten, het bieden van bescherming voor investeerders, de interne controle van beursgenoteerde bedrijven aanscherpen en het bestraffen van managers die fraude plegen.

Enkele andere aspecten van de SOX zijn: nieuwe regels voor controleurs en het management, nieuwe rollen voor het ‘audit committee’ en nieuwe eisen wat betreft de interne controle. Ten slotte zorgde de SOX voor oprichting van de Public Company Accounting Oversight Board (PCAOB). Een bestuur bestaande uit vijf leden die het controleberoep controleert.

Wat zijn drie verschillende frameworks?

Deze paragraaf bespreekt drie frameworks die gebruikt worden bij het ontwikkelen van interne controlesystemen.

De allereerste betreft de Control Objectives for Information and Related Technology (COBIT) framework: COBIT is een framework voor het gestructureerd inrichten en beoordelen van een IT-omgeving. Het stelt managers in staat om verschillende veiligheids –en controlepraktijken van de IT-omgeving te vergelijken (benchmarken). Verder verzekert het de gebruikers ervan dat er adequate IT veiligheid en controle bestaat en het staat controleurs toe om hun interne controle adviezen te onderbouwen en te adviseren over IT-beveiliging en zaken wat betreft de controle.

De controle in dit framework wordt vanuit drie invalshoeken bekeken:

  1. Business objectives: om te voldoen aan de doelstelling van een onderneming, moet informatie voldoen aan 7 criteriacategorieën.

  2. IT resources: mensen, applicatiesystemen, technologie, faciliteiten en data.

  3. IT processes: onderverdeeld in vier domeinen: plannen en organiseren, aanschaf en implementatie, levering en ondersteuning en controle en evaluatie.

Een tweede framework is het Committee of Sponsoring Organizations (COSO). Dit is een managementmodel, bestaande uit een aantal private organisaties: ‘American Accounting Association’, ‘American Institute of Certified Public Accountants’, ‘Insitute of Internal Auditors’, ‘Institute of Management Accountants’, ‘Financial Executives Institute’.

In 1992 heeft het comité aanbevelingen gedaan en richtlijnen aangegeven ten aanzien van de interne controle en beheersing: de Internal Control Integrated Framework (IC). Vijf componenten van het IC framework zijn:

  • Interne omgeving

  • Controle activiteiten

  • Risicobeoordeling

  • Informatie en communicatie

  • Controleren

Bovenstaande componenten behoren tot het nieuwere model van COSO: het Risk Management – Integrated Framework (ERM). Een model breder dan het oudere model, en richt zich op het gehele interne beheerssyteem. Enkele basiselementen van ERM zijn: bedrijven zijn gevormd om waarde te creëren voor zijn gebruikers; het management moet beslissen hoeveel onzekerheid het wil toelaten indien het waarde creëert, onzekerheid resulteert in risico’s, met als gevolg dat iets negatiefs de mogelijkheid van een onderneming om waarde te creëren of te behouden aantast; onzekerheid resulteert in kansen, de mogelijkheid dat iets positiefs de mogelijkheid van een onderneming om waarde te creëren of te behouden aantast: het ERM framework kan zowel onzekerheid beheren als het creëren en behouden van waarde.

Het ERM framework is uitgebreider dan het IC framework, en richt zich meer op een aanpak die zich richt op risico dan op een aanpak gebaseerd op controle. Het voegt drie extra elementen toe aan het COSO model:

  1. Vaststellen van doelstellingen

  2. Identificeren van gebeurtenissen

  3. Risicobeheersing (reactie)

Wat valt onder de interne omgeving?

De Internal environment is de cultuur van een onderneming dat helpt bij het bepalen van het risicobewustzijn van werknemers. Het is de fundering voor alle ander ERM componenten.

Een internal environment bestaat uit:

  1. Filosofie, werkwijze en risk appetite

  2. De raad van bestuur

  3. Streven naar integriteit, ethische waarden en competentie

  4. Organisatiestructuur

  5. Toewijzing van autoriteit en verantwoordelijkheid

  6. ‘human resource’ standaarden

  7. Externe invloeden

Filosofie, werkwijze en risk appetite

Elke organisatie heeft zijn eigen filosofie, gedeelde overtuigingen en opvattingen ten aanzien van bijvoorbeeld risico’s, procedures, communicatie en besluitvorming. Ondernemingen hebben ook een risk appetite: de hoeveelheid risico die men wil accepteren om bepaalde doelstellingen te behalen.

Des te meer verantwoord de filosofie en de werkwijze, en hoe beter deze zijn gecommuniceerd, hoe groter de kans dat werknemers zich verantwoordelijk zullen gedragen.

De raad van bestuur

Een betrokken raad van bestuur vertegenwoordigt aandeelhouders en biedt een onafhankelijk oordeel van het management. Beursgenoteerde bedrijven zijn verplicht tot een audit comité: een comité dat verantwoordelijk is voor de toezicht op de interne controle, het proces van financiële verslaggeving en voor overeenstemming met wetten en regels. Het comité bestaat meestal uit buitenstaanders.

Streven naar integriteit, ethische waarden en competentie

Integriteit begint aan de top, wanneer werknemers de opvattingen van het management overnemen wat betreft risico’s en controle. Bedrijven steunen integriteit o.a. door actieve onderwijzing, het vermijden van onrealistische verwachtingen of prikkels die oneerlijk en illegaal gedrag motiveren, het consequent belonen van eerlijk gedrag, het ontwikkelen van een schriftelijke gedragscode, werknemers opleggen om oneerlijke of illegale gedragingen te melden en het maken van een verbintenis tot competentie (deskundigheid/ vakbekwaamheid).

Organisatiestructuur

Een organisatiestructuur biedt een framework voor plannen, uitvoeren, controleren en bewaken van activiteiten. Enkele aspecten van een organisatiestructuur zijn bijvoorbeeld: centralisatie of decentralisatie van autoriteit of een directe of indirecte (matrix) rapportering. Het gaat hierbij om de keuzes die een onderneming maakt met betrekking tot bepaalde kwesties.

Toewijzing van autoriteit en verantwoordelijkheid

Autoriteit en verantwoordelijkheid worden toegewezen d.m.v. formele functiebeschrijvingen, training, dienstregelingen, budgets, gedragscodes en schriftelijke beleidslijnen en procedures. De policy and procedures manual beschrijft de correcte gang van zaken, beschrijft de benodigde kennis en ervaring, verklaart procedures, legt uit hoe transacties geregeld moeten worden en vormt een opsomming van de middelen die nodig zijn voor de uitvoering van bepaalde taken.

‘Human resource’ standaarden

‘Human resource’ beleid kan effectief zijn bij het bevorderen van eerlijkheid, efficiëntie en loyale service. Het beleid moet deskundigheid, competentie, ethisch gedrag en integriteit nastreven. Hierbij zijn de volgende beleidsregels en procedures van belang:

  1. Aannemen van personeel: kandidaat kwalificaties kunnen geëvalueerd worden door het bekijken van ieders cv, met behulp van referenties, interviews en background checks: het praten met referenties, controleren op een strafblad, krediet-onderzoek en het controleren van onderwijs en werkervaring.

  2. Compenseren, evalueren en promoveren

  3. Training

  4. Het managen van ontevreden werknemers

  5. Ontslaan

  6. Vakanties en wisseling van taak: fraude dat de constante aandacht van de fraudeur vereist, zal worden ontdekt zodra de fraudeur vrije tijd neemt.

  7. Geheimhoudingsovereenkomsten en ‘fidelity bond insurance’: ‘fidelity bond insurance’ beschermt bedrijven tegen de verliezen van fraude.

  8. Vervolgen en opsluiten van fraudeplegers: vaak wordt fraude niet gerapporteerd of vervolgd. Dit heeft verschillende redenen: fraude kan een ramp betekenen voor publieke relaties of het kan zwakke plekken in het systeem onthullen die nog meer fraude kunnen uitlokken; rechtbanken hebben het vaak druk met gewelddadige misdaden, en hebben minder aandacht voor ‘computermisdaden’ omdat daar geen lichamelijk letsel op van toepassing is; fraude is moeilijke, kostbaar en tijdrovend om te onderzoeken en te vervolgen; veel wetshandhavers, advocaten en rechters beschikken niet over de benodigde computervaardigheden om computermisdaden te onderzoeken en te vervolgen; de straffen voor fraude zijn vaak laag.

Externe invloeden

Externe invloeden zijn bijvoorbeeld opgelegde verplichtingen met betrekking tot aandelenuitgifte, de ‘Financial Accounting Standards Board (FASB)’, de ‘Public Company Accounting Oversight Board (PCAOB)’, en de ‘Securities and Exchange Commission (SEC)’. Andere externe invloeden zijn vereisten opgesteld door regelgevende instanties, zoals banken, nutsbedrijven en verzekeringsmaatschappijen.

Hoe kunnen doelstellingen worden vastgesteld?

Een onderneming kent verschillenden soorten doelen.

  • Strategic objectives zijn ‘high-level’ doelen die afgestemd zijn op de missie van een organisatie en die deze missie ondersteunen.
  • Operations objectives zijn doelen die zich bezighouden met de effectiviteit en efficiëntie van de bedrijfsuitoefening.
  • Reporting objectives zijn doelen die de nauwkeurigheid, de compleetheid en de betrouwbaarheid van interne en externe bedrijfsrapporten verzekeren, van zowel financiële als niet-financiële aard.
  • Compliance objectives zijn doelen die de onderneming helpt te voldoen aan bepaalde wetten en regelgeving.

Identificeren van gebeurtenissen

Een event is een gebeurtenis afkomstig van interne of externe bronnen, die de uitvoering van een strategie of het nastreven van doelen beïnvloedt. Events kunnen zowel negatief als positief zijn. Het management moet proberen om vooraf zowel alle negatieve als positieve gebeurtenissen in te schatten.

Risicobeoordeling en Risicobeheersing

Inherent risk bestaat voordat het management stappen heeft genomen om de kans en de impact van een gebeurtenis te beheersen. Residual risk is datgene wat overblijft nadat het management interne controle heeft uitgevoerd of een ander soort van reactie. Ondernemingen moeten de inherent risk beoordelen, vervolgens moeten ze een reactie daarop ontwikkelen en ten slotte moeten ze de residual risk beoordelen.

Het management kan op vier verschillende manieren reageren op risico:

  1. Reduceren: het terugdringen van de kans en de impact van risico, door het verwezenlijken van een effectief intern controlesysteem.

  2. Accepteren: het accepteren van de kans en de impact van risico. Risico kan geaccepteerd worden als het binnen het risico tolerantiebereik ligt, bijvoorbeeld een risico met een kleine kans en een kleine impact.

  3. Delen: het delen van risico of de risico overdragen door bijvoorbeeld verzekering of uitbesteding.

  4. Vermijden: het vermijden van risico door niet die activiteiten te verrichten die extra risico meebrengen.

De kans en impact van risico moeten samen worden gezien in samenhang. De kans kan heel klein zijn, echter de impact heel groot.

Een goed intern controlesysteem bevat zowel ‘preventive controls’, ‘detective controls’ en ‘corrective controls’ (herstel van problemen).

De voordelen van een interne controle procedure moeten de kosten overtreffen. Kosten zijn hierbij vaak beter te meten dan de voordelen (klanttevredenheid, toegenomen verkoop en productiviteit). Een manier om de waarde van interne controle te berekenen omvat het concept expected loss: het wiskundige product van impact en kans.

De waarde van een controle procedure is vervolgens het verschil tussen de expected loss met de controle procedures en de expected loss zonder deze controle procedures.

Controle activiteiten

Control activities is het beleid en de procedures die redelijke zekerheid bieden dat controle doelstelling worden gehaald en dat de reacties op risico’s worden uitgevoerd. Controles zijn een stuk effectiever wanneer ze in het systeem worden opgenomen wanneer deze wordt gebouwd, in plaats van daarna. Het is belangrijk dat de controle activiteiten worden opgenomen in het systeem voor het einde van het jaar, tijdens de vakantieperiode. In deze periode komt de meeste fraude voor (vanwege de vakantie zijn er minder mensen op de werkvloer, studenten hebben ook vakantie en hebben meer tijd, aanvallen van hackers nemen toe).

Controle procedures worden ondergeschikt in de volgende categorieën:

  1. Autorisatie van transacties en activiteiten.

  2. Scheiding van taken.

  3. Projectontwikkeling en ‘acquisitie’ controles

  4. Change management controles

  5. Ontwikkeling en gebruik van documenten en gegevens

  6. Veilig stellen van activa en gegevens

  7. Onafhankelijke prestatiecontroles

Autorisatie van transacties en activiteiten

Het management heeft niet de tijd om elke activiteit en beslissing te controleren. Daarom maakt men gebruik van authorization: het verlenen van macht aan een werknemer om bepaalde functies uit te voeren namens de onderneming. Werknemers die worden toegestaan om routine transacties te verrichten zonder speciale toestemming hebben general authorization. Een werknemer die toestemming nodig heeft voor een bepaalde transactie verkrijgt specific authorization.

Computersystemen kunnen gebruik maken van digital signatures: een manier om een document te ondertekenen met gegevens die niet kunnen worden vergeten.

Scheiding van functies

Een goede interne controle vereist dat er niet aan één bepaalde werknemer teveel verantwoordelijkheid wordt gegeven, dit kan namelijk een situatie creëren waarin men de mogelijkheid heeft om fraude te plegen.

De scheiding van functies kan worden opgesplitst in segregation of accounting duties en segregation of system duties.

Segregation of accounting duties wordt bereikt wanneer de volgende functies worden gescheiden:

  1. Authorization: goedkeuring van transacties en beslissingen

  2. Recording: opstellen van source documents; invoeren van data in online systemen; onderhouden van journals, ledgers, files of databases; opstellen van prestatierapporten.

  3. Custody: beheer van geld, gereedschap, voorraad of vaste activa; ontvangen van binnenkomende cheques; uitschrijven van cheques.

Zodra iemand twee van bovenstaande activiteiten samen uitvoert, kan dat problemen opleveren.

Het detecteren van fraude waarbij twee of meer mensen samenwerken om de interne controle te dwarsbomen (collusion), is een stuk lastiger.

Segregation of systems duties heeft als doel het voorkomen dat één bepaalde persoon niet onbeperkte toegang heeft tot het gehele systeem. Dit wordt bereikt door het onderscheiden van onderstaande functies:

  • System administration: system administrators zorgen ervoor dat alle informatie systeem elementen probleemloos en efficiënt werken.

  • Network management: network managers zorgen ervoor dat apparatuur wordt gekoppeld aan de interne en externe netwerken van de organisatie en dat deze netwerken goed functioneren.

  • Security management: het management dat ervoor zorgt dat de systemen veilig zijn en worden beschermd tegen interne en externe bedreigingen.

  • Change management: het proces dat ervoor zorgt dat veranderingen soepel en efficiënt verlopen en dat deze veranderingen de betrouwbaarheid, de veiligheid, de vertrouwelijkheid, de integriteit en de beschikbaarheid van het systeem niet negatief beïnvloeden.

  • Users: gebruikers registeren transacties, keuren de te verwerken gegevens goed en maken gebruikt van systeem output.

  • System analysis: system analysts helpen gebruikers bij het bepalen van de informatie die zij nodig hebben en ontwerpen een systeem om aan die behoeften te voldoen.

  • Programming: programmers maken gebruik van het ontwerp van de system analysts en ontwikkelen een systeem door het ontwikkelen van computer programma’s.

  • Computer operations: computer operators zorgen ervoor dat de software draait op de computers van het bedrijf. Ze zorgen ervoor dat data goed wordt ingevoerd, dat data goed wordt verwerkt en dat er output wordt geproduceerd wanneer dat nodig is.

  • Information system library: een verzameling van databases, bestanden en programma’s opgeslagen in een afzonderlijke opslagruimte.

  • Data control: een data control group zorgt ervoor dat basisgegevens (‘source data’) worden goedgekeurd, ze controleren het werk met behulp van de computer, ze combineren de input en de output, ze houden een rapport bij van invoerfouten zodat deze gecorrigeerd kunnen worden en opnieuw kunnen worden ingevoerd en ze distribueren systeem output.

Projectontwikkeling en ‘acquisitie’ controles

Belangrijk systeemontwikkelingen controles zijn:

  1. Steering committe: een uitvoerend comité dat zich bezighoudt met het plannen en toezicht houden op de functies van het informatiesysteem. Het comité bestaat meestal uit management van de systeemafdeling, de controleur en ander management dat beïnvloed wordt door de functies van het informatiesysteem.

  2. Strategic master plan: een meerjarenplan van een organisatie dat dient als een technologische stappenplan/draaiboek en dat belicht welke projecten de onderneming moet voltooien om zijn doelstellingen op lange termijn te behalen.

  3. Project development plan: een document dat laat zien hoe een project zal worden voltooid. Er moeten vragen beantwoord worden zoals: welke taken moeten worden uitgevoerd? Wie zal deze taken uitvoeren? Wanneer moet het project klaar zijn? Wat zijn de kosten met betrekking tot het project? Een ander onderdeel hiervan zijn project milestones: belangrijke momenten waar vooruitgang wordt beoordeeld en feitelijke en geschatte tijden van voltooiing met elkaar worden vergeleken.

  4. Data processing schedule: een schema dat laat zien wanneer elke taak moet worden uitgevoerd.

  5. System performance measurements: metingen die als doel hebben om een systeem te evalueren en te beoordelen. Belangrijke meetinstrumenten zijn bijvoorbeeld de throughput (output per tijdseenheid), utilization (tijdspercentage dat een systeem productief wordt gebruikt) en de response time (hoe lang duurt het voordat een systeem reageert).

  6. Post-implementation review: een beoordeling nadat een nieuw systeem enige tijd heeft geopereerd. Het doel hiervan is om er zeker van te zijn dat het nieuwe systeem voldoet aan de geplande doelstellingen en verwachtingen.

Sommige ondernemingen huren een systems integrator: een persoon of bedrijf die ervoor zorgt dat verschillende subsystemen een eenheid vormen en samen functioneren. De voornaamste taak is systeemintegratie. Bedrijven die gebruik maken van systems integrators moeten gebruik maken van dezelfde processen en controles als interne projecten, maar ter aanvulling moeten ze duidelijke specificaties ontwikkelen en moeten ze toezicht houden op het project.

Change management controles, dit onderdeel wordt besproken in hoofdstuk 10.

Ontwikkeling en gebruik van documenten en gegevens

De juiste vormgeving en het juiste gebruik van elektronische en papieren documenten zorgt voor een bijdrage aan nauwkeurige en volledige registratie van alle relevante transactiedata. Hun vorm en inhoud moet bijvoorbeeld zo simpel mogelijk worden gehouden en een minimum aantal fouten bevatten.

Veilig stellen van activa records en gegevens

Niet alleen moet de informatie beschermd worden, ook geld en activa moet beschermd worden. Belangrijk hierbij is om een passend beleid en procedure na te streven, om een nauwkeurige registratie van alle activa bij te houden, om beperkingen op te leggen met betrekking tot de toegang tot activa en om de gegevens en documenten goed te beschermen (bijv. vuurbestendige opslagplaatsen, maken van back-ups).

Onafhankelijke prestatiecontroles

Onafhankelijke controles, uitgevoerd door een buitenstaander, dragen bij aan de nauwkeurigheid van de verwerking van bijvoorbeeld transacties. Ze omvatten de volgende:

  1. Top-level reviews: het management moet de bedrijfsresultaten controleren en vergelijken met de gebudgetteerde prestaties, met de prestaties van voorgaande periode en met de prestaties van concurrenten.

  2. Analytical review: een onderzoek naar de relaties tussen verschillende datasets (een stijging van verkoop op krediet leidt tot een stijging in de debiteurenpost).

  3. Het combineren van onafhankelijke records.

  4. Vergelijken van werkelijke hoeveelheden met geregistreerde hoeveelheden.

  5. Double-entry accounting (dubbel boekhouden).

  6. Onafhankelijke beoordeling: nadat een transactie is verwerkt, zal een tweede persoon het werk van de eerste persoon beoordelen.

Informatie en communicatie

Informatie en communicatie zijn een belangrijk component in zowel het ERM model als in een AIS. Communicatie behoort ook tot een hoofddoel van een AIS: verkrijgen, registreren, verwerken, opslaan, samenvatten en communiceren van informatie.

Een audit trail is een pad waardoor de verwerkingsresultaten van een transactie kunnen worden getraceerd vanaf het beginpunt tot de uiteindelijke output of andersom.

Controleren

Belangrijke methodes voor het controleren van prestaties zijn:

  • Uitvoeren van ERM evaluaties.

  • Toepassen van effectieve toezicht.

  • Gebruik maken van verantwoordelijke accountingsystemen.

  • Volgen van aangeschafte software and mobiele apparaten.

  • Verrichten van periodieke controles

  • Inhuren van een Computer Security Officer (CSO) en een Chief Compliance Officer (CCO

  • Inhuren van forensic specialists

  • Installeren van software dat fraude detecteert.

  • Invoeren van een fraude hotline.

Crossroads

 Crossroads

  • Crossroads lead you through the JoHo web of knowledge, inspiration & association
  • Use the crossroads to follow a connected direction

 

Footprint toevoegen
 
   
Hoe werkt een JoHo Chapter?

 JoHo chapters

Eigen aantekeningen maken?

Zichtbaar voor jezelf en bewaren zolang jij wil

Memberservice: Make personal notes

Ben je JoHo abonnee dan kun je je eigen notities maken, die vervolgens in het notitieveld  worden getoond. Deze notities zijn en blijven alleen zichtbaar voor jouzelf. Je kunt dus aantekeningen maken of bijvoorbeeld je eigen antwoorden geven op vragen